Que tipo de Linux pode verificar todos os seus arquivos / pacotes como debsums (Debian), mas mais?

Navegue suas respostas
2
# debsums -a, --all  check configuration files (normally excluded)

No entanto, há uma grande quantidade de arquivos auxiliares temporários aqui e ali, não apenas em tmp-dir.

Cerca de 4.000 dos arquivos binários .pyc do python, que não podem ser desabilitados por padrão: 

# cat /etc/python/debian_config  
# standard, optimize 
byte-compile = standard

etc ...

Existe alguma distribuição do Linux, que tem repositórios on-line com capacidade para verificar cada arquivo instalado em minha máquina com segurança?

Estou falando do gerenciador de pacotes como o Sistema de Detecção de Intrusos Baseado em Host com criptografia moderna capaz de prevenir / detectar qualquer infecção.

    
por perpetuity 06.10.2013 / 03:16

2 respostas

5

Os sistemas baseados em RPM têm rpm -q --verify , o que faz coisas semelhantes.

No entanto, não acho que nenhum desses recursos seja uma alternativa adequada para um IDS. O principal problema é que as somas de verificação estão na máquina em questão, portanto, se ela tiver sido comprometida, você não poderá confiar nas somas de verificação locais.

Talvez você consiga novos checksums dos repositórios da Internet, mas eu ainda acho que você está fazendo da maneira errada de usar checksums de pacotes para isso.

Uma opção muito melhor é usar um verificador de integridade de arquivos dedicado, como AIDE ou Tripwire . Essas ferramentas permitem que você calcule as somas de verificação no sistema depois de colocá-las em um estado de bom estado e, em seguida, armazene-as em mídia somente leitura removível (por exemplo, CD-R) para comparação posterior.

Outro problema com o método checksum do pacote é que não é esperado que ele verifique coisas como /etc files, já que eles são conhecidos por alterar o conteúdo das ações propositalmente. Com algo como AIDE, você calcula as somas de verificação depois você faz suas alterações nas versões de estoque desses arquivos, assim você pode dizer com confiança se uma mudança era esperada ou não.

Isso não quer dizer que a verificação da soma de verificação do pacote seja inútil. É só que não se destina a detectar modificações maliciosas. É para detectar alterações acidentais, para que possam ser corrigidas. Por exemplo, alguém pode ter feito um comando chmod -R , então pressionar Ctrl-C antes de executar por muito tempo, uma vez que eles perceberam seu erro, então você verifica os pacotes para descobrir quais pacotes 'Permissões de arquivos foram mungadas.

    
por 06.10.2013 / 04:10
2

Eu prefiro a solução de Warren (AIDE), mas se você realmente quiser assistir seu sistema, usando algo como CFEngine ou um derivativo (Puppet, Chef, saltstack, whatever) para gerenciar todo o conteúdo do seu sistema de arquivos. Use um gerenciador de pacotes para instalar arquivos, um sistema de gerenciamento de configuração para gerenciar o conteúdo de todos os arquivos de configuração e alertar quando algo mudar fora do seu sistema de configuração (assim como provavelmente mudar as coisas de volta). Quanto mais fundo você for, mais envolvida a solução, no entanto. Gerenciar completamente um sistema e todos os arquivos nele é uma tarefa realmente grande. CFEngine pode aprender checksums de arquivos e assisti-los para você também, se você não se importa com o conteúdo, tanto quanto apenas ser notificado quando as coisas mudam. Os outros provavelmente têm funcionalidade semelhante, mas serão mais lentos. Eu posso dizer que você realmente não quer fazer monitoramento frequente de sistema de arquivos recursivo com o Puppet. Então, novamente, as curvas de aprendizado para diferentes ferramentas são diferentes. AIDE é muito fácil de entender, CFEngine pode ser um desafio menor.

    
por 06.10.2013 / 23:49

Tags

Lê o conteúdo em uma linha no bash Como fazer com que os processos não morram depois que seus pais morrem?